Crie uma VPN de site para site
Você está aqui: VPN > rede > VPN IPsec.
Para criar uma VPN de site para site:
Campo |
Ação |
---|---|
Nome |
Insira um nome para VPN. |
Descrição |
Insira uma descrição. Esta descrição será usada para as propostas e políticas IKE e IPsec. Durante a edição, a descrição da política do IPsec será exibida e atualizada. |
Modo de roteamento |
Selecione o modo de roteamento ao qual esta VPN estará associada:
Para cada topologia, a J-Web auto gera as CLIs relevantes. Seletor de tráfego é o modo padrão. |
Método de autenticação |
Selecione um método de autenticação da lista que o dispositivo usa para autenticar a fonte de mensagens de Troca de chaves da Internet (IKE):
|
Política de firewall de criação automática |
Se você selecionar Sim, uma política de firewall é automaticamente entre zona interna e zona de interface de túnel com redes protegidas locais como endereço fonte e redes protegidas remotas como endereço de destino. Outra política de firewall será criada visa-versa. Se você escolher Não, você não tem uma opção de política de firewall. Você precisa criar manualmente a política de firewall necessária para fazer essa VPN funcionar.
Nota:
Se você não quiser criar automaticamente uma política de firewall no fluxo de trabalho de VPN, a rede protegida fica oculta para roteamento dinâmico em gateway local e remoto. |
Gateway remoto |
Exibe o ícone de gateway remoto na topologia. Clique no ícone para configurar o gateway remoto. O gateway identifica o peer remoto com os pares de VPN IPsec e define os parâmetros apropriados para essa VPN IPsec. Para obter informações sobre os campos, veja Tabela 2. |
Local Gateway |
Exibe o ícone de gateway local na topologia. Clique no ícone para configurar o gateway local. Para obter informações sobre os campos, veja Tabela 4. |
Configurações de IKE e IPsec |
Configure a proposta de IKE ou IPsec personalizada e a proposta de IPsec personalizada com algoritmos ou valores recomendados. Para obter informações sobre os campos, veja Tabela 6.
Nota:
|
Campo |
Ação |
---|---|
O gateway está por trás do NAT |
Se habilitado, o endereço IP externo configurado (IPv4 ou IPv6) é referido como o endereço IP do dispositivo NAT. |
Identidade IKE |
Selecione uma opção da lista para configurar a identidade remota. |
Nome do host |
Insira um nome de host remoto. |
Endereço IPv4 |
Insira um endereço IPv4 remoto. |
Endereço IPv6 |
Insira um endereço IPv6 remoto. |
ID chave |
Digite uma ID chave. |
Endereço de e-mail |
Digite um endereço de e-mail. |
Endereço IP externo |
Digite o endereço IPv4 ou IPv6 peer. Você pode criar uma rede peer primária com até quatro backups. Você deve inserir um endereço IPv4 ou IPv6 ou digitar até cinco endereços IP separados por vírgula. |
Redes protegidas |
Ao selecionar um modo de roteamento, lista todos os endereços globais(es). Selecione os endereços da coluna Disponível e clique na seta direita para movê-los para a coluna Selecionada. Quando o modo de roteamento é:
|
Adicionar |
Clique em +. A página criar endereço global aparece. Consulte a Tabela 3 para obter informações sobre os campos. |
Campo |
Ação |
---|---|
Nome |
Insira uma corda única que deve começar com um caractere alfanumérico e que pode incluir cólons, períodos, traços e sublinhados; sem espaço permitido; Máximo de 63 caracteres. |
Tipo de IP |
Selecione IPv4 ou IPv6. |
IPv4 |
Endereço IPv4 — Digite um endereço IPv4 válido. Sub-rede — Insira a sub-rede para endereço IPv4. |
IPv6 |
Endereço IPv6 — Digite um endereço IPv6 válido. Prefixo de sub-rede — Insira uma máscara de sub-rede para a faixa de rede. Uma vez inscrito, o valor é validado. |
Campo |
Ação |
---|---|
O gateway está por trás do NAT |
Habilite essa opção quando o gateway local estiver por trás de um dispositivo NAT. |
Identidade IKE |
Selecione uma opção da lista para configurar a identidade local. Quando o Gateway está por trás do NAT , você pode configurar um endereço IPv4 ou IPv6 para fazer referência ao dispositivo NAT. |
Nome do host |
Insira um nome de host.
Nota:
Essa opção só estará disponível se o Gateway estiver por trás do NAT ser desativado. |
Endereço IPv4 |
Digite um endereço IPv4. |
Endereço IPv6 |
Digite um endereço IPv6. |
ID chave |
Digite uma ID chave.
Nota:
Essa opção só estará disponível se o Gateway estiver por trás do NAT ser desativado. |
Endereço de e-mail |
Digite um endereço de e-mail.
Nota:
Essa opção só estará disponível se o Gateway estiver por trás do NAT ser desativado. |
Interface externa |
Selecione uma interface de saída da lista para negociações de IKE. A lista contém todos os endereços IP disponíveis se mais de um endereço IP estiver configurado na interface especificada. O endereço IP selecionado será configurado como o endereço local sob o gateway IKE. |
Interface de túnel |
Selecione uma interface da lista para vinculá-la à interface de túnel (VPN baseada em rota). Clique em Adicionar para adicionar uma nova interface. A página De criar interface de túnel é exibida. Veja a tabela 5. |
ID do roteador |
Digite o endereço IP do dispositivo de roteamento.
Nota:
Essa opção estará disponível se o modo de roteamento for Roteamento Dinâmico - OSPF ou BGP. |
ID da área |
Insira um ID de área dentro da faixa de 0 a 4.294.967.295, onde as interfaces de túnel desta VPN precisam ser configuradas.
Nota:
Essa opção estará disponível se o modo de roteamento for Roteamento Dinâmico - OSPF. |
Interface passiva de túnel |
Habilite essa opção de ignorar o tráfego das verificações de IP ativas habituais.
Nota:
Essa opção estará disponível se o modo de roteamento for Roteamento Dinâmico - OSPF. |
ASN |
Digite o número AS do dispositivo de roteamento. Use um número atribuído a você pela NIC. Intervalo: 1 a 4.294.967.295 (232 – 1) em formato de número simples para números AS de 4 byte.
Nota:
Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP. |
ID do vizinho |
Digite o endereço IP de um roteador vizinho.
Nota:
Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP. |
Tipo de grupo BGP |
Selecione o tipo de grupo de peer BGP da lista:
Nota:
Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP. |
Peer ASN |
Digite o número do sistema autônomo (AS) vizinho (peer).
Nota:
Essa opção estará disponível se você escolher externo como Tipo de Grupo BGP. |
Políticas de importação |
Selecione uma ou mais políticas de roteamento da lista para rotas que estão sendo importadas na tabela de roteamento a partir do BGP. Clique em Limpar tudo para limpar as polícias selecionadas.
Nota:
Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP. |
Políticas de exportação |
Selecione uma ou mais políticas da lista para as rotas que estão sendo exportadas da tabela de roteamento para o BGP. Clique em Limpar tudo para limpar as polícias selecionadas.
Nota:
Essa opção estará disponível se o modo de roteamento for roteamento dinâmico — BGP. |
Certificado local |
Selecione um identificador de certificado local quando o dispositivo local tiver vários certificados carregados.
Nota:
Essa opção estará disponível se o método de autenticação for baseado em certificados. Clique em Adicionar para gerar um novo certificado. Clique em Importar para importar um certificado de dispositivo. Para obter mais informações, veja Certificados de gerenciamento de dispositivos. |
CA/Grupo confiável |
Selecione o perfil da autoridade de certificados (CA) da lista para associá-lo ao certificado local.
Nota:
Essa opção estará disponível se o método de autenticação for baseado em certificados. Clique em Adicionar para adicionar um novo perfil de CA. Para obter mais informações, veja Gerenciar a Autoridade de Certificados Confiáveis. |
Chave pré-compartilhada |
Digite o valor da chave pré-compartilhada. A chave pode ser um dos seguintes:
Nota:
Essa opção estará disponível se o método de autenticação for chave pré-compartilhada. |
Redes protegidas |
Clique em +. A página Criar redes protegidas aparece. |
Criar redes protegidas | |
Zona |
Selecione uma zona de segurança da lista que será usada como zona de origem na política de firewall. |
Endereço global |
Selecione os endereços da coluna Disponível e clique na seta direita para movê-los para a coluna Selecionada. |
Adicionar |
Clique em Adicionar. A página criar endereço global aparece. Veja a tabela 3. |
Editar |
Selecione a rede protegida que deseja editar e clique no ícone de lápis. A página Editar endereço global aparece com campos editáveis. |
Excluir |
Selecione a rede protegida que deseja editar e clique no ícone de exclusão. A mensagem de confirmação aparece. Clique em Sim para excluir. |
Campo |
Ação |
---|---|
Unidade de interface |
Digite o número da unidade lógica. |
Descrição |
Insira uma descrição para a interface lógica. |
Zona |
Selecione uma zona para a interface lógica da lista para usar como zona de origem na política de firewall. Clique em Adicionar para adicionar uma nova zona. Insira o nome e a descrição da zona e clique em OK na página criar zona de segurança. |
Instância de roteamento |
Selecione uma instância de roteamento da lista. |
IPv4
Nota:
Essa opção só estará disponível se você selecionar o modo de roteamento como Roteamento Dinâmico - OSPF ou BGP. |
|
Endereço IPv4 |
Insira um endereço IPv4 válido. |
Prefixo de sub-rede |
Digite uma máscara de sub-rede para o endereço IPv4. |
IPv6
Nota:
Essa opção só estará disponível se você selecionar o modo de roteamento como Roteamento Dinâmico - OSPF ou BGP. |
|
Endereço IPv6 |
Insira um endereço IPv6 válido. |
Prefixo de sub-rede |
Insira uma máscara de sub-rede para o intervalo da rede. Uma vez inscrito, o valor é validado. |
Campo |
Ação |
---|---|
Configurações do IKE | |
Versão IKE |
Selecione a versão IKE necessária, v1 ou v2 para negociar associações de segurança dinâmica (SAs) para IPsec. O valor padrão é v2. |
Modo IKE |
Selecione o modo de política de IKE da lista:
|
Algoritmo de criptografia |
Selecione o mecanismo de criptografia apropriado da lista. O valor padrão é aes-256-gcm. |
Algoritmo de autenticação |
Selecione o algoritmo de autenticação da lista. Por exemplo, o hmac-md5-96 — produz uma digestão de 128 bits e hmac-sha1-96 — produz uma digestão de 160 bits.
Nota:
Essa opção está disponível quando o algoritmo de criptografia não é gcm. |
Grupo DH |
Uma troca de Diffie-Hellman (DH) permite que os participantes gerem um valor secreto compartilhado. Selecione o grupo DH apropriado da lista. O valor padrão é o grupo19. |
Segundos de vida útil |
Selecione uma vida útil de uma associação de segurança IKE (SA). Padrão: 28.800 segundos. Alcance: 180 a 86.400 segundos. |
Detecção de peer morto |
Habilite essa opção de enviar solicitações de detecção de peer inativos, independentemente de haver tráfego IPsec de saída para o peer. |
Modo DPD |
Selecione uma das opções da lista:
|
Intervalo de DPD |
Selecione um intervalo em segundos para enviar mensagens de detecção de peer inativos. O intervalo padrão é de 10 segundos. O intervalo é de 2 a 60 segundos. |
Limite de DPD |
Selecione um número de 1 a 5 para definir o limite de DPD de falha. Isso especifica o número máximo de vezes que as mensagens DPD devem ser enviadas quando não há resposta do peer. O número padrão de transmissões é de 5 vezes. |
Configuração avançada (opcional) | |
ID geral de IKE |
Habilite essa opção de aceitar a ID ID de IKE por peer. |
Re-autenticação do IKEv2 |
Configure a frequência de reauthenticação para ativar uma nova reauthenticação do IKEv2. |
Re-fragmentação do IKEv2 |
Essa opção é habilitada por padrão. |
Tamanho do novo fragmento do IKEv2 |
Selecione o tamanho máximo, em bytes, de uma mensagem IKEv2 antes de ser dividida em fragmentos. O tamanho se aplica a mensagens IPv4 e IPv6. Intervalo: 570 a 1320 bytes. Os valores padrão são:
|
NAT-T |
Habilite essa opção para o tráfego IPsec passar por um dispositivo NAT. NAT-T é um algoritmo de fase 1 do IKE que é usado ao tentar estabelecer uma conexão VPN entre dois dispositivos de gateway, onde há um dispositivo NAT na frente de um dos dispositivos da Série SRX. |
NAT Keep Alive |
Selecione o intervalo keepalive apropriado em segundos. Faixa: 1 a 300. Se espera-se que a VPN tenha grandes períodos de inatividade, você pode configurar valores keepalive para gerar tráfego artificial para manter a sessão ativa nos dispositivos NAT. |
Configurações do IPsec | |
Protocolo |
Selecione o protocolo de protocolo de segurança de encapsulamento (ESP) ou o cabeçalho de autenticação (AH) da lista para estabelecer VPN. O valor padrão é ESP. |
Algoritmo de criptografia |
Selecione o método de criptografia. O valor padrão é aes-256-gcm.
Nota:
Essa opção está disponível apenas para o protocolo ESP. |
Algoritmo de autenticação |
Selecione o algoritmo de autenticação IPsec da lista. Por exemplo, o hmac-md5-96 — produz uma digestão de 128 bits e hmac-sha1-96 — produz uma digestão de 160 bits.
Nota:
Essa opção está disponível quando o algoritmo de criptografia não é gcm. |
Sigilo perfeito para o futuro |
Selecione o sigilo de encaminhamento perfeito (PFS) da lista. O dispositivo usa esse método para gerar a chave de criptografia. O valor padrão é o grupo19. O PFS gera cada nova chave de criptografia independentemente da chave anterior. Os grupos com maior número oferecem mais segurança, mas exigem mais tempo de processamento.
Nota:
grupo15, grupo16 e group21 oferecem suporte apenas à linha SRX5000 de dispositivos com uma placa SPC3 e um pacote junos-ike instalados. |
Segundos de vida útil |
Selecione a vida útil (em segundos) de uma associação de segurança IPsec (SA). Quando a SA expira, ela é substituída por uma nova SA e índice de parâmetros de segurança (SPI) ou terminada. O padrão é de 3.600 segundos. Alcance: 180 a 86.400 segundos. |
Kilobytes vitalícios |
Selecione a vida útil (em kilobytes) de um IPsec SA. O padrão é de 128kb. Intervalo: 64 a 4294967294. |
Estabelecer túnel |
Habilite essa opção para estabelecer o túnel IPsec. O IKE é ativado imediatamente (valor padrão) depois que uma VPN é configurada e as mudanças de configuração são comprometidas. |
Configuração avançada | |
VPN Monitor |
Habilite essa opção para usá-la em um endereço IP de destino.
Nota:
Essa opção não está disponível para o modo de roteamento de seletores de tráfego. |
IP de destino |
Insira o destino dos pings do Protocolo de Mensagem de Controle de Internet (ICMP). O dispositivo usa o endereço de gateway do peer por padrão.
Nota:
Essa opção não está disponível para o modo de roteamento de seletores de tráfego. |
Otimizado |
Habilite essa opção para o objeto VPN. Se habilitado, o dispositivo da Série SRX envia apenas solicitações de eco de ICMP (pings) quando há tráfego de saída e sem tráfego de entrada do peer configurado através do túnel VPN. Se houver tráfego de entrada pelo túnel VPN, o dispositivo da Série SRX considera o túnel ativo e não envia pings para o peer. Essa opção é desabilitada por padrão.
Nota:
Essa opção não está disponível para o modo de roteamento de seletores de tráfego. |
Interface de origem |
Selecione a interface de origem para solicitações de ICMP da lista. Se nenhuma interface de origem for especificada, o dispositivo usa automaticamente a interface local de endpoint do túnel.
Nota:
Essa opção não está disponível para o modo de roteamento de seletores de tráfego. |
Caminho de verificação |
Habilite essa opção para verificar o datapath IPsec antes que a interface de túnel seguro (st0) seja ativada e as rotas associadas à interface sejam instaladas na tabela de encaminhamento do Junos OS. Essa opção é desabilitada por padrão.
Nota:
Essa opção não está disponível para o modo de roteamento de seletores de tráfego. |
IP de destino |
Digite o endereço IP de destino. Endereço IP original e não traduzido do endpoint de túnel de peer que está por trás de um dispositivo NAT. Este endereço IP não deve ser o endereço IP traduzido por NAT. Essa opção é necessária se o endpoint do túnel peer estiver por trás de um dispositivo NAT. A solicitação de ICMP de caminho de verificação é enviada a este endereço IP para que o peer possa gerar uma resposta ICMP.
Nota:
Essa opção não está disponível para o modo de roteamento de seletores de tráfego. |
Tamanho do pacote |
Digite o tamanho do pacote que é usado para verificar um datapath IPsec antes que a interface st0 seja criada. Intervalo: 64 a 1350 bytes. O valor padrão é de 64 bytes.
Nota:
Essa opção não está disponível para o modo de roteamento de seletores de tráfego. |
Anti Replay |
O IPsec protege contra ataques VPN usando uma sequência de números incorporados no pacote IPsec — o sistema não aceita um pacote com o mesmo número de sequência. Essa opção é habilitada por padrão. O Anti-Replay verifica os números da sequência e aplica a verificação, em vez de apenas ignorar os números da sequência. Desativar o Anti-Replay se houver um erro com o mecanismo IPsec que resulta em pacotes fora de ordem, o que impede a funcionalidade adequada. |
Intervalo de instalação |
Selecione o número máximo de segundos para permitir a instalação de uma associação de segurança de saída (SA) rekeyed no dispositivo. Selecione um valor de 1 a 10. |
Tempo ocioso |
Selecione o intervalo de tempo ocioso. As sessões e suas traduçãos correspondentes saem após um determinado período de tempo, se nenhum tráfego for recebido. O intervalo é de 60 a 999999 segundos. |
DF Bit |
Selecione como o dispositivo lida com o bit Don't Fragment (DF) no cabeçalho externo:
|
Copie o DSCP externo |
Essa opção é habilitada por padrão. Isso permite a cópia do ponto de código de serviços diferenciados (DSCP) (DSCP+ECN externo) do pacote criptografado de cabeçalho IP externo para a mensagem de texto simples de cabeçalho IP interno no caminho de descriptografia. Habilitando esse recurso, após a descriptografia do IPsec, pacotes de texto claros podem seguir as regras internas de CoS (DSCP+ECN). |